华为USG6000系列防火墙 硬盘使用指南
华为防火墙的使用手册
华为防火墙的使用手册第一章:产品概述1.1 产品介绍本手册是为了帮助用户更好地使用华为防火墙(以下简称“防火墙”)而编写的。
防火墙是一种能够有效防范网络攻击和保护网络安全的设备,具有强大的安全防护功能和丰富的网络管理功能。
1.2 产品特点防火墙具有以下主要特点:- 能够进行安全审计和监控网络流量,实时检测和阻断潜在的威胁;- 具有灵活的策略配置和管理功能,可以根据实际需求进行定制化设置;- 支持多种安全协议和加密算法,确保网络数据的安全传输;- 具备高性能处理能力和可靠的硬件设施,能够满足大规模企业网络的安全需求。
第二章:硬件配置与安装2.1 硬件配置在使用防火墙之前,首先需要了解防火墙的硬件配置参数。
包括防火墙型号、CPU、内存、接口类型和数量等信息。
用户可以根据网络规模和安全需求选择适合的防火墙型号。
2.2 安装用户在安装防火墙时需要注意以下几点:- 将防火墙设备固定在防火墙机架上,并连接电源线;- 将防火墙设备与网络设备相连,包括连接入口路由器、交换机等;- 安全接入外部网络,并配置相关网络参数。
第三章:软件配置与管理3.1 系统初始化用户在首次接入防火墙时,需要进行系统初始化配置,包括设置管理员账号、密码、管理IP等信息。
确保只有授权的人员可以管理和操作防火墙。
3.2 策略配置配置防火墙的安全策略是非常重要的一项工作。
用户可以根据实际情况制定入站、出站、NAT、VPN等各类安全策略,以确保网络安全。
3.3 安全管理防火墙还具有安全管理功能,包括安全审计、日志记录、攻击防护等功能。
用户可以通过安全管理功能监控网络流量、分析安全事件并采取相应措施。
第四章:故障排除与维护4.1 系统状态监控防火墙设备可通过监控系统状态来查看硬件运行状况、网络流量情况等,及时发现故障并进行处理。
4.2 故障排除当防火墙出现故障时,用户可以通过系统日志、告警信息等来分析故障原因,并进行相应的处理和维护。
4.3 定期维护为了保持防火墙设备的稳定运行,用户需要对设备进行定期的维护工作,包括固件升级、系统优化、安全漏洞补丁安装等。
华为防火墙配置使用手册(自己写)[4]
![华为防火墙配置使用手册(自己写)[4]](https://img.taocdn.com/s3/m/2085ce1fcdbff121dd36a32d7375a417866fc10f.png)
华为防火墙配置使用手册(自己写)华为防火墙配置使用手册一、概述二、防火墙基本概念包过滤防火墙:它只根据数据包的源地址、目的地址、协议类型和端口号等信息进行过滤,不对数据包的内容进行分析。
它的优点是处理速度快,开消小,但是安全性较低,不能阻挠应用层的攻击。
状态检测防火墙:它在包过滤防火墙的基础上,增加了对数据包的连接状态的跟踪和记录,可以识别出非法的连接请求和数据包,并拒绝通过。
它的优点是安全性较高,可以阻挠一些常见的攻击,但是处理速度较慢,开消较大。
应用代理防火墙:它对数据包的内容进行深度分析,可以识别出不同的应用协议和服务,并根据应用层的规则进行过滤。
它的优点是安全性最高,可以阻挠复杂的攻击,但是处理速度最慢,开消最大。
访问控制:它可以根据源地址、目的地址、协议类型、端口号、应用类型等信息对网络流量进行分类和过滤,实现对内外网之间访问权限的控制和管理。
虚拟专网:它可以建立安全隧道,实现不同地域或者组织之间的数据加密传输,保证数据的机密性、完整性和可用性。
内容安全:它可以对网络流量中携带的内容进行检查和过滤,如、网页、文件等,并根据预定义的规则进行拦截或者放行。
用户认证:它可以对网络访问者进行身份验证,如用户名、密码、证书等,并根据不同的用户或者用户组分配不同的访问权限和策略。
流量管理:它可以对网络流量进行统计和监控,如流量量、流量速率、流量方向等,并根据预定义的规则进行限制或者优化。
日志审计:它可以记录并保存网络流量的相关信息,如源地址、目的地址、协议类型、端口号、应用类型、过滤结果等,并提供查询和分析的功能。
三、防火墙配置方法命令行界面:它是一种基于文本的配置方式,用户可以通过控制台或者远程终端访问防火墙,并输入相应的命令进行配置。
它的优点是灵便性高,可以实现细致的配置和管理,但是需要用户熟悉命令的语法和逻辑。
图形用户界面:它是一种基于图形的配置方式,用户可以通过浏览器或者客户端软件访问防火墙,并通过或者拖拽等操作进行配置。
华为防火墙操作手册
华为防火墙操作手册(实用版)目录1.防火墙概述2.防火墙配置基础3.配置拨号连接4.配置 PPPoE 用户5.总结正文华为防火墙操作手册1.防火墙概述华为防火墙是一款高性能、安全可靠的网络安全设备,能够有效防止各种网络攻击,确保网络数据的安全传输。
防火墙支持多种网络接入方式,如 ADSL、光纤等,用户可以根据自身需求选择合适的网络接入方式。
2.防火墙配置基础在配置防火墙之前,需要对防火墙进行基本设置,包括设备名称、登录密码等。
此外,还需要配置防火墙的网络参数,如 WAN 口、LAN 口等。
3.配置拨号连接在防火墙上配置拨号连接,需要进入防火墙的 Web 管理界面,然后选择“拨号连接”选项,填写相应的用户名和密码进行登录。
登录成功后,可以对拨号连接进行相关设置,如连接时间、拨号频率等。
4.配置 PPPoE 用户在防火墙上配置 PPPoE 用户,需要进入防火墙的命令行界面,然后使用相应的命令进行操作。
具体操作步骤如下:1) 增加一个 PPPoE 用户:```[usg6000v1]sysname,ppps,[ppps],user-manage,user,test ```2) 进入 PPPoE 用户配置模式:```[usg6000v1]ppps-localuser,test```3) 配置 PPPoE 用户的用户名和密码:```[usg6000v1]ppps-localuser,test,username,testuser [usg6000v1]ppps-localuser,test,password,testpassword ```4) 配置 PPPoE 用户的拨号参数:```[usg6000v1]ppps-localuser,test,dial-profile,PPP [usg6000v1]ppps-localuser,test,dial-number,12345678 [usg6000v1]ppps-localuser,test,dial-timeout,60```5) 启动 PPPoE 用户:```[usg6000v1]ppps-localuser,test,start```5.总结华为防火墙操作手册主要包括防火墙概述、配置基础、拨号连接配置和 PPPoE 用户配置等内容。
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列下一代防火墙技术白皮书文档版本V1.1发布日期2014-03-12版权所有© 华为技术有限公司2014。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:客户服务邮箱:ask_FW_MKT@客户服务电话:4008229999目录1 概述 (1)1.1 网络威胁的变化及下一代防火墙产生 (1)1.2 下一代防火墙的定义 (1)1.3 防火墙设备的使用指南 (2)2 下一代防火墙设备的技术原则 (1)2.1 防火墙的可靠性设计 (1)2.2 防火墙的性能模型 (2)2.3 网络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于用户的管控能力 (4)2.7 基于应用的管控能力 (4)2.8 应用层的威胁防护 (4)2.9 业务支撑能力 (4)2.10 地址转换能力 (5)2.11 攻击防范能力 (5)2.12 防火墙的组网适应能力 (6)2.13 VPN业务 (6)2.14 防火墙管理系统 (6)2.15 防火墙的日志系统 (7)3 Secospace USG6000系列防火墙技术特点 (1)3.1 高可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防火墙技术 (16)3.8 业务支撑能力 (17)3.9 网络地址转换 (18)3.10 丰富的攻击防御的手段 (21)3.11 优秀的组网适应能力 (23)3.12 完善的VPN功能 (25)3.13 应用层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的日志报表系统 (31)4 典型组网 (1)4.1 攻击防范 (1)4.2 地址转换组网 (2)4.3 双机热备份应用 (2)4.4 IPSec保护的VPN应用 (3)4.5 SSL VPN应用 (5)华为USG6000系列下一代防火墙产品技术白皮书关键词:NGFW、华为USG6000、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本文详细介绍了下一代防火墙的技术特点、工作原理等,并提供了防火墙选择过程的一些需要关注的技术问题。
华为HiSecEngine IPS6000F系列 入侵防御系统 产品手册
华为HiSecEngine IPS6000F 系列新一代入侵防御系统产品概述华为HiSecEngine USG6000F 系列产品是华为推出的新一代专业入侵防御产品,主要应用于企业、IDC 、校园网和运营商等,为客户提供运营安全保障。
HiSecEngine IPS6000F 系列产品在传统IPS 产品的基础上进行了扩展:增加对所保护的网络环境感知能力、深度应用感知能力、内容感知能力,以及对未知威胁的防御能力,实现了更精准的检测能力,和更优化的管理体验。
更好地保障客户应用和业务安全,实现对网络基础设施、服务器、客户端以及网络带宽性能的全面防护。
产品特点全新软硬件架构,检测性能进一步提升• 硬件采用专用多核平台,大大提高产品检测性能;•软件方面采用全新的IPS 检测引擎进行威胁检测,多重防护并行处理,极大提升了威胁检测性能。
多重检测,全面防护• 提供对系统、应用、恶意软件以及客户端攻击最精准的保护;• 识别120+真实文件类型,防扩展名篡改,识别文件中的恶意代码;•应对面向HTTP 、DNS 、SIP 等应用的拒绝服务攻击,提供业界领先的应用层DDoS 防护功能;签名更新快,漏洞及时防御•专业的签名开发团队密切跟踪全球知名安全组织和软件厂商发布的安全公告,并遵从国际权威组织CVE 的兼容性认证要求,对这些威胁进行分析和验证;• 通过遍布全球的蜜网,实时捕获最新的攻击、蠕虫病毒、木马等,提取威胁的特征,发现威胁的趋势;•华为能够在最短时间内发布最新的签名,及时升级检测引擎和签名库。
华为HiSecEngine IPS6585F华为HiSecEngine IPS6625F华为HiSecEngine IPS6655F华为HiSecEngine IPS6615F产品规格注意:1. IPS6655F部分100GE接口与25GE接口互为Combo。
订购信息。
华为USG6000系列防火墙 硬盘使用指南
步骤1
步骤3
为什么双硬盘挂载这么慢?
如前所述,3U设备的双硬盘必须组成RAID1磁盘阵列,以提高数据安全性和读取性能。组成 RAID1的两块硬盘完全镜像,所以又称为Mirror或Mirroring(镜像)。RAID1的构建过程通常约 需要4~5个小时,有时甚至更久。
RAID1的构建过程主要是硬盘的读写过程。硬盘的读写速度与硬盘自身的速度、控制器的速度、 CPU的速度等多种因素有关。防火墙选用的是速度较快的SAS盘、LSI控制器(可检查display disk information输出信息的DiskIOC_Vendor字段)。
这么多硬盘挂载场景,记不住怎么办?
下 电 单硬盘 安 装 双硬盘
带 电 单硬盘 更 换 双硬盘
硬件操作
上电
查看状态
设置主盘
等待4~5小时
查看状态
保存配置
下线硬盘
等待30秒
上线硬盘
等待30秒
删除RAID
硬件操作
设置主盘
等待4~5小时
1U,无硬盘>单硬盘
带 电 3U,无硬盘>单硬盘 扩 容 3U,无硬盘>双硬盘
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,检查硬盘状态(display disk information)
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,指定主盘并开始构建RAID1(reset raid primary-disk disk-id) 4. 等待4~5小时,检查硬盘状态(display disk information)
USG6507 USG6530 USG6550 USG6570
硬盘组合SM-HDD-SAS300G-B
硬盘组合、硬盘插卡不支持热插拔 硬盘单元支持热替换
华为防火墙的使用手册
华为防火墙的使用手册摘要:一、华为防火墙简介1.防火墙工作模式2.防火墙功能与应用二、华为防火墙配置指南1.基本配置与IP编址2.路由模式配置3.透明模式配置4.混合模式配置三、华为防火墙实用技巧1.拨号连接配置2.VPN配置3.访问控制列表配置4.防病毒和入侵检测配置四、华为防火墙故障排除1.常见故障及解决方法2.故障排查流程正文:一、华为防火墙简介华为防火墙作为一种安全设备,广泛应用于各种网络环境中。
它起到隔离网络的作用,防止外部攻击和数据泄露。
华为防火墙有三种工作模式:路由模式、透明模式和混合模式。
1.防火墙工作模式(1)路由模式:当防火墙连接的网络接口配置了IP地址时,防火墙工作在路由模式。
在此模式下,防火墙首先作为一台路由器,然后提供其他防火墙功能。
(2)透明模式:防火墙在这种模式下不干预网络流量,仅作为物理设备存在,适用于需要隔离网络的场景。
(3)混合模式:该模式结合了路由模式和透明模式,可以根据网络需求进行灵活配置。
2.防火墙功能与应用华为防火墙具备丰富的功能,包括:(1)防火墙:防止外部攻击和入侵,保障网络安全。
(2)VPN:实现远程办公和数据加密传输。
(3)流量控制:优化网络带宽利用率,保证关键业务优先运行。
(4)访问控制:根据需求设置允许或拒绝特定IP地址、协议、端口的访问。
(5)防病毒和入侵检测:实时监测网络流量,防止病毒和恶意行为。
二、华为防火墙配置指南1.基本配置与IP编址(1)给防火墙配置管理接口IP地址,例如:192.168.0.124。
(2)为防火墙的接口分配不同的IP地址,根据实际网络拓扑进行配置。
2.路由模式配置(1)进入路由模式,设置相关接口的IP地址。
(2)配置路由协议,如OSPF、BGP等。
(3)设置路由策略,优化网络路由。
3.透明模式配置(1)将防火墙调整为透明模式。
(2)根据需求,配置透明模式下的接口属性。
4.混合模式配置(1)结合路由模式和透明模式进行配置。
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
华为防火墙-USG6000-全图化Web典型配置案例(V4.0)
文档版本V4.0发布日期2016-01-20登录Web 配置界面Example9:应用控制(限制P2P 流量、禁用QQ )Example8:基于用户的带宽管理Example7:SSL VPN 隧道接入(网络扩展)Example6:客户端L2TP over IPSec 接入(VPN Client/Windows/Mac OS/Android/iOS )Example5:点到多点IPSec 隧道(策略模板)Example4:点到点IPSec 隧道Example3:内外网用户同时通过公网IP 访问FTP 服务器Example2:通过PPPoE 接入互联网Example1:通过静态IP 接入互联网目录341118263651116131141组网图缺省配置管理接口 GE0/0/0IP 地址 192.168.0.1/24 用户名/密码admin/Admin@123登录Web 配置界面6~810及以上配置登录PC 自动获取IP 地址1在浏览器中输入https://接口IP 地址:port2输入用户名/密码3Firewall192.168.0.*GE0/0/0192.168.0.1/24网口局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。
企业从运营商处获取的固定IP地址为1.1.1.1/24。
企业需利用防火墙接入互联网。
项目数据说明DNS服务器 1.2.2.2/24 向运营商获取。
网关地址 1.1.1.254/24 向运营商获取。
23配置外网接口 参数45配置内网接口参数6123配置内网接口GE1/0/2的DHCP 服务,使其为局域网内的PC 分配IP 地址412134配置允许内网IP地址访问外网241新建源NAT ,实现内网用户正常访问Internet531、检查接口GigabitEthernet 1/0/1(上行链路)的连通性。
1查看接口状态是否为Up。
2、在内网PC上执行命令ipconfig /all,PC正确分配到IP地址和DNS地址。
华为USG6000系列防火墙共享上网及组网基本配置
华为USG6000系列防火墙共享上网及组网基本配置公司各楼层通过交换机汇聚到楼宇核心交换机,楼宇核心汇聚到总核心,然后通过USG6000安全策略访问外网路由器实现共享上网功能。
楼宇核心:划分楼层VLAN 配置网关上一跳路由<Huawei>sys[huawei]sysname hexinjiaohuan[hexinjiaohuan]vlan batch 10 20 30 40[hexinjiaohuan]int vlan 10[hexinjiaohuan-Vlanif10]ip address 192.168.10.254 24 [hexinjiaohuan]int vlan 20[hexinjiaohuan-Vlanif20]ip address 192.168.20.254 24 [hexinjiaohuan]int vlan 30[hexinjiaohuan-Vlanif30]ip address 192.168.30.254 24 [hexinjiaohuan]int vlan 40[hexinjiaohuan-Vlanif40]ip address 192.168.60.1 30 [hexinjiaohuan]int g0/0/3[hexinjiaohuan-GigabitEthernet0/0/3]port link-type access [hexinjiaohuan-GigabitEthernet0/0/3]port default vlan 10 [hexinjiaohuan]int g0/0/1[hexinjiaohuan-GigabitEthernet0/0/1]port link-type access [hexinjiaohuan-GigabitEthernet0/0/1]port default vlan 20 [hexinjiaohuan]int g0/0/4[hexinjiaohuan-GigabitEthernet0/0/4]port link-type access [hexinjiaohuan-GigabitEthernet0/0/4]port default vlan 30 [hexinjiaohuan]int g0/0/2[hexinjiaohuan-GigabitEthernet0/0/2]port link-type access [hexinjiaohuan-GigabitEthernet0/0/2]port default vlan 40 [hexinjiaohuan]ip route-static 0.0.0.0 0.0.0.0 192.168.60.2<hexinjiaohuan>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y总核心交换机:配置上下访问端口和上下访问路由<Huawei>sys[Huawei]sysname zonghexin[zonghexin]vlan batch 40 50[zonghexin]int vlan 40[zonghexin-Vlanif40]ip address 192.168.60.2 30 [zonghexin]int g0/0/2[zonghexin-GigabitEthernet0/0/2]port link-type access [zonghexin-GigabitEthernet0/0/2]port default vlan 40 [zonghexin]int vlan 50[zonghexin-Vlanif50]ip address 192.100.50.2 30 [zonghexin]int g0/0/1[zonghexin-GigabitEthernet0/0/1]port link-type access [zonghexin-GigabitEthernet0/0/1]port default vlan 50 [zonghexin]ip route-static 192.168.10.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 192.168.20.0 255.255.255.0 192.168.60.1[zonghexin]ip route-static 192.168.30.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 0.0.0.0 0.0.0.0 192.100.50.1<zonghexin>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y防火墙USG6000:配置访问策略允许内网所有PC访问外网(路由器)地址Username:adminPassword: (默认密码Admin@123)The password needs to be changed. Change now? [Y/N]: yPlease enter old password: (默认密码Admin@123)Please enter new password: 新密码Please confirm new password: 新密码确认[USG6000V1]int g1/0/1 //配置内网端口[USG6000V1-GigabitEthernet1/0/1]ip address 192.100.50.1 255.255.255.252 [USG6000V1-GigabitEthernet1/0/1]service-manage http permit[USG6000V1-GigabitEthernet1/0/1]service-manage https permit[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit[USG6000V1]int g1/0/0 //配置外网端口[USG6000V1-GigabitEthernet1/0/0]ip address 10.128.60.5 255.255.255.252 [USG6000V1]firewall zone trust //把端口加入到安全域[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1[USG6000V1]firewall zone untrust //把端口加入到非安全域[USG6000V1-zone-untrust]add interface GigabitEthernet1/0/0[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 10.128.60.6[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.20.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.30.0 255.255.255.0 192.100.50.2[USG6000V1]security-policy //访问策略[USG6000V1-policy-security]rule name "trust to untrust"[USG6000V1-policy-security-rule-trust to untrust][USG6000V1-policy-security-rule-trust to untrust]source-zone trust[USG6000V1-policy-security-rule-trust to untrust]destination-zone untrust [USG6000V1-policy-security-rule-trust to untrust] action permit[USG6000V1-policy-security-rule-trust to untrust] rule name local[USG6000V1-policy-security-rule-local]source-zone local[USG6000V1-policy-security-rule-local]destination-zone trust[USG6000V1-policy-security-rule-local]action permit<USG6000V1>save路由器:[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip address 10.128.60.6 255.255.255.252 [Huawei]ip route-static 0.0.0.0 0.0.0.0 10.128.60.5<Huawei>savepc>ping 10.128.60.6Ping 10.128.60.6: 32 data bytes, Press Ctrl_C to breakFrom 10.128.60.6: bytes=32 seq=1 ttl=252 time=765 ms From 10.128.60.6: bytes=32 seq=2 ttl=252 time=141 ms From 10.128.60.6: bytes=32 seq=3 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=4 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=5 ttl=252 time=78 msPC机测试通过基本功能实现。
usg6000使用手册
USG6000使用手册一、设备简介USG6000是一款功能强大的网络安全设备,适用于中小型企业及大型企业的分支机构。
它集成了防火墙、入侵检测与防御、内容过滤等多种功能,为用户提供全面的网络安全保障。
二、设备安装1.硬件连接:将USG6000设备接入网络,确保电源线连接稳定。
2.固件升级:根据设备提示,下载最新版本的固件并按照指导进行升级。
3.网络配置:配置USG6000设备的IP地址、子网掩码、默认网关等网络参数。
三、登录与系统配置1.通过浏览器输入设备的IP地址,进入登录界面。
2.选择相应的用户角色(如管理员、操作员等),输入用户名和密码进行登录。
3.在系统主界面,选择“系统配置”选项,开始进行设备配置。
四、功能应用1.防火墙配置:设置允许或拒绝特定IP地址、端口等数据包的规则。
2.入侵检测与防御:启用IDS/IPS功能,实时监控网络流量,发现并阻止恶意攻击。
3.内容过滤:根据用户需求,设置关键词过滤,屏蔽不良内容。
五、用户权限管理1.添加新用户:在管理界面创建新用户,分配相应的角色和权限。
2.权限设置:为不同用户角色设置不同的访问权限,确保设备的安全性。
六、设备维护与故障排除1.日志查看:检查设备的运行日志,了解设备的运行状态和潜在问题。
2.故障排除:根据故障现象,参考故障排除指南进行故障定位和修复。
3.软件更新:定期检查软件更新,下载并安装最新的补丁和升级包。
七、高级功能与操作1.多区域部署:支持在多个区域部署USG6000设备,实现更精细化的网络安全控制。
2.路由配置:配置路由表,实现数据包的转发和路由选择。
3.VPN配置:设置VPN服务器,实现远程用户的安全接入。
八、参考与支持1.用户手册:可访问USG6000官方网站下载用户手册,获取更详细的操作指南和技术文档。
2.在线支持:如有任何技术问题或疑问,可联系制造商的客户支持部门或访问其官方论坛获取帮助。
3.培训课程:参加制造商提供的培训课程,了解USG6000的高级功能和最佳实践应用。
华为防火墙配置使用手册(自己写)[5]
![华为防火墙配置使用手册(自己写)[5]](https://img.taocdn.com/s3/m/b8c31f16ec630b1c59eef8c75fbfc77da2699732.png)
华为防火墙配置使用手册(自己写)一、网络拓扑一台华为USG6000E防火墙,作为网络边界设备,连接内网、外网和DMZ区域。
一台内网交换机,连接内网PC和防火墙的GE0/0/1接口。
一台外网路由器,连接Internet和防火墙的GE0/0/2接口。
一台DMZ交换机,连接DMZ区域的WWW服务器和FTP服务器,以及防火墙的GE0/0/3接口。
一台内网PC,IP地址为10.1.1.2/24,作为内网用户,需要通过防火墙访问Internet和DMZ区域的服务器。
一台WWW服务器,IP地址为192.168.1.10/24,作为DMZ区域的Web 服务提供者,需要对外提供HTTP服务。
一台FTP服务器,IP地址为192.168.1.20/24,作为DMZ区域的文件服务提供者,需要对外提供FTP服务。
Internet用户,需要通过防火墙访问DMZ区域的WWW服务器和FTP服务器。
图1 网络拓扑二、基本配置本节介绍如何进行防火墙的基本配置,包括初始化配置、登录方式、接口配置、安全区域配置等。
2.1 初始化配置防火墙出厂时,默认的管理接口为GE0/0/0,IP地址为192.168.1. 1/24,开启了DHCP服务。
默认的用户名为admin,密码为Admin123。
首次登录防火墙时,需要修改密码,并选择是否清除出厂配置。
步骤如下:将PC与防火墙的GE0/0/0接口用网线相连,并设置PC的IP地址为19 2.168.1.x/24(x不等于1)。
在PC上打开浏览器,并输入192.168.1.1访问防火墙的Web界面。
输入默认用户名admin和密码Admin123登录防火墙,并根据提示修改密码。
新密码必须包含大小写字母、数字和特殊字符,并且长度在8到32个字符之间。
选择是否清除出厂配置。
如果选择是,则会删除所有出厂配置,并重启防火墙;如果选择否,则会保留出厂配置,并进入Web主界面。
2.2 登录方式2.2.1 Web登录Web登录是通过浏览器访问防火墙的Web界面进行管理和配置的方式。
华为防火墙配置使用手册
华为防火墙配置使用手册摘要:一、华为防火墙配置概述二、华为防火墙基本配置1.登录华为防火墙2.配置管理IP地址3.配置接口地址4.配置路由5.配置访问控制列表(ACL)三、高级配置1.配置NAT2.配置DHCP3.配置防火墙策略4.配置安全策略5.配置入侵检测和防御四、故障排除与维护1.常见故障排除2.防火墙性能优化3.安全策略调整4.系统升级与维护五、总结正文:华为防火墙配置使用手册华为防火墙是一款高性能的网络防火墙,能够有效保护企业网络免受各种网络攻击。
本文将详细介绍华为防火墙的配置使用方法。
一、华为防火墙配置概述华为防火墙配置主要包括基本配置和高级配置两部分。
基本配置包括管理IP地址、接口地址、路由等设置;高级配置包括NAT、DHCP、防火墙策略等设置。
二、华为防火墙基本配置1.登录华为防火墙使用Console口或Telnet方式登录华为防火墙。
2.配置管理IP地址进入系统视图,设置管理IP地址。
例如:```[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1255.255.255.0```3.配置接口地址进入接口视图,设置接口地址。
例如:```[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2255.255.255.0```4.配置路由设置路由表,使防火墙能够进行路由转发。
例如:```[Huawei-ip route-table]ip route 192.168.1.0 24 192.168.1.2```5.配置访问控制列表(ACL)设置ACL,以限制网络流量。
例如:```[Huawei-GigabitEthernet0/0/0]acl number 2000[Huawei-GigabitEthernet0/0/0]acl 2000 rule 0 permit ip source 192.168.1.1 0```三、高级配置1.配置NAT设置NAT地址转换,使内部网络设备能够访问外部网络。
华为USG6000V虚拟服务网关数据手册说明书
Gateway DatasheetHuawei Technologies Co., Ltd.Copyright © Huawei Technologies Co., Ltd. 2018. All rights reserved.No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei Technologies Co., Ltd.Trademarks and Permissionsand other Huawei trademarks are trademarks of Huawei Technologies Co., Ltd.All other trademarks and trade names mentioned in this document are the property of their respective holders.NoticeThe purchased products, services and features are stipulated by the contract made between Huawei and the customer. All or part of the products, services and features described in this document may not be within the purchase scope or the usage scope. Unless otherwise specified in the contract, all statements, information, and recommendations in this document are provided "AS IS" without warranties, guarantees or representations of any kind, either express or implied.The information in this document is subject to change without notice. Every effort has been made in the preparation of this document to ensure accuracy of the contents, but all statements, information, and recommendations in this document do not constitute a warranty of any kind, express or implied.Huawei Technologies Co., Ltd.Address: Huawei Industrial BaseBantian, LonggangShenzhen 518129People's Republic of ChinaWebsite: Email: ******************With wide application of cloud computing technology, IT and CT are rapidly converged. Consequently, requirements for public and private cloud deployment, quick service provisioning, on-demand service migration, and tailored attack defense increase sharply. Conventional service gateways with dedicated hardware can hardly meet the deployment requirements of the cloud network architecture.Huawei USG6000V is a virtual (software-based) service gateway based on the network functions virtualization (NFV). It features high virtual resource usage because the virtualization technology allows a large number of tenants to concurrently use the resources. In addition, the USG6000V provides abundant virtualized gateway services, such as vFW, vIPsec, vLB, vIPS, vA V, and vURL Remote Query. It can be flexibly deployed to meet service requirements.Huawei USG6000V series virtual service gateway is compatible with most of mainstream virtual platforms. It provides standard application platform interfaces (APIs), together with the OpenStack cloud platform, SDN Controller, and MANO to achieve intelligent solutions for cloud security. It meets the requirements of flexible service customization, elastic and on-demand resource allocation, visualized network management, rapid rollout and frequent changes of security service, and simple and efficient O&M.HighlightsIntegrated functions and fine-grained managementThe USG6000V provides multiple functions, including security protection to data centers at the virtualization layer and value-added security services for tenants.●Multi-purpose: The USG6000V integrates the traditional firewall, VPN, intrusionprevention, antivirus, data leak prevention, bandwidth management, and online behaviormanagement functions all in one device, simplifying device deployment and improvingmanagement efficiency.●IPS: The USG6000V can detect and defend against over 5000 vulnerabilities. It canidentify and defend against web application attacks, such as cross-site scripting and SQLinjection attacks.●Antivirus: The high-performance antivirus engine of the USG6000V can defend againstover five million viruses and Trojan horse. The virus signature database is updated daily.●Anti-DDoS: The USG6000V can identify and defend against over 5 million viruses andover 10 types of DDoS attacks, such as SYN flood and UDP flood attacks.●Online behavior management: The USG6000V implements cloud-based URL categoryfiltering to prevent threats caused by users' access to malicious websites and control users'online behavior, such as posting. The USG6000V has a predefined URL category databasethat contains over 120 million URLs. In addition, the USG6000V audits users' networkaccess records, such as posting and FTP operations.●Secure interconnection: The USG6000V supports various VPN features, such as IPsec,SSL, L2TP, MPLS, and GRE VPN to ensure high-availability and secure interconnectionbetween enterprise headquarters and branch offices.●QoS management: The USG6000V flexibly controls upper and lower traffic thresholds andimplements policy-based routing and QoS marking by application. It supports QoSmarking for URL categories. For example, the packets for accessing financial websites areassigned a higher priority.●Load balancing: The USG6000V supports server load balancing. In a multi-egress scenario,the USG6000V can implement load balancing with the egresses for applications accordingto link quality, bandwidth, and weights.Flexible deployments of services achieved by elastic and on-demand principlesVirtualization: The USG6000V supports the virtualization of many security services, such as firewall, intrusion prevention, antivirus, and VPN. Users can separately conduct personal managements on the same physical device. The USG6000V8 can be divided to 500 virtual systems to achieve one-to-many virtualization. It requires less investment from small-scale tenants by providing fine-grained service resources.Automation: It supports such plug-ins as NETCONF and OpenStack, and connects to Agile Controller or Openstack cloud platform through standard interfaces. With one-click configuration and delivery of network parameters on the portal, it spares users the nuisances of configuring complicated commands of specific network devices.It achieves seamless orchestration among computing, storage, and network by providing faster deployment of network resources. Network services roll out within minutes with manual configuration being reduced by 90%.Service provisioning process of Huawei DCN security solutionIntegrated management and visualized O&M●Security policy management: Users configure security service rules based on security groups.The Agile Controller generates and automatically delivers security policies.●Visualized O&M: It provides topology visibility for network-wide virtual and physicalresources to quickly locate network fails. It also provides visualized network management based on tenants to meet compliance requirements of visualized network topology, quota, traffic, and alarms.Visualized Agile Controller management of Huawei DCN security solutionBuilding an ecosystem available to be integrated widelyBy adopting standard APIs, it achieves zero transportation and zero cable layouts in the deployment of data centers. With this effortless deployment experience, it accelerates service deployments and supports migration among multiple virtual platforms. It provides automatic service scheduling and other functions by supporting comprehensive northbound interface protocols to realize wide connection to various kinds of standard controllers.●Various virtualization platforms: Supports mainstream virtualization platforms, such asthe VMware, KVM, XEN, Hyper-V, and Huawei FusionSphere, as well as inst allation of bare machine.●Multiple file formats: Supports software packages in multiple formats(including .vmdk, .iso, .qcow2, and .ovf) for deployment in various environments.●API friendliness:Supports the management using NETCONF and RESTCONF NBIsand the OpenStack platform for NFV interconnection.●Solutions: Supports solutions of Huawei DCN.●Public cloud platform: Supports public cloud platforms of AWS, Azure and Huawei. Typical Application ScenarioHuawei DCN security solutionTenants subscribe to value-added services on the service portal; MANO deploys the USG6000V; the Agile Controller predefines the network and delivers security policies based on Layer 4 through 7. All of the procedures for rolling out the services are automated. The USG6000V deployed on the border of the VPC of tenants provides such services as remote access, value-added security, and load balancing. It protects the north-south traffic among tenants from threat transmissions emanated from the data center.The USG6000V supports as many as 500 virtual systems. It provides fine-grained security resources based on virtual systems to small-scale tenants, greatly lowering the threshold for investment.Specifications1. VM resources refer to resources provided by deployed VMs, including vCPUs, memory, hard disks, and virtual interfaces.2. The vCPU indicates the logical CPU virtualized by the Intel x86 64-bit CPU that supports VT. One core corresponds to two vCPUs.3. All performance indicators are tested under the specified hardware environment, namely, RH2288, V3, X86 series-3200MHz-1.8V-64bit-135000mW-Haswell EP Xeon E5-2667 v3-8Core-with heatsink.4. In SR-IOV mode, the SR-IOV technology is used, and the test environment is the KVM platform. In vSwitch mode, the USG6000V is connected to the vSwitch, and the test environment is the VMware platform.5. The maximum throughput is obtained by testing 1518-byte or 1420-byte packets in ideal conditions. The specifications may vary depending on live network environments.6. The maximum throughput is obtained by testing 64-byte packets in ideal conditions. The specifications may vary depending on live network environmentsOrdering Guide2018-11-3Huawei Confidential Page11 of 11About the PublicationThe publication is for reference only and does not constitute a warranty of any kind, express or implied. All trademarks, pictures, logos, and brands in this publication are the property of Huawei Technologies Co., Ltd. or an authorized third party.Copyright © Huawei Technologies Co., Ltd. 2017. All rights reserved.。
华为usg防火墙基本配置命令有哪些
华为usg防火墙基本配置命令有哪些防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
下面是店铺给大家整理的一些有关华为usg防火墙基本配置命令,希望对大家有帮助!华为usg防火墙基本配置命令登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样,有一个Console接口。
使用console线缆将console接口和计算机的com口连接在一块。
使用windows操作系统自带的超级终端软件,即可连接到防火墙。
防火墙的缺省配置中,包括了用户名和密码。
其中用户名为admin、密码Admin@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。
修改防火墙的名称的方法与修改路由器名称的方法一致。
另外需要注意的是,由于防火墙和路由器同样使用了VRP平台操作系统,所以在命令级别、命令帮助等,与路由器上相应操作相同。
sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04修改防火墙的时间和时区信息默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。
使用时应该根据实际的情况定义时间和时区信息。
实验中我们将时区定义到东八区,并定义标准时间。
clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下,在登陆防火墙,登陆成功后有如下的标语信息。
华为防火墙操作手册
华为防火墙操作手册
摘要:
1.防火墙概述
2.防火墙的安装与配置
3.防火墙的运行与维护
4.防火墙的安全性能优化
5.总结
正文:
一、防火墙概述
防火墙是网络安全设备的一种,用于在内部网络和外部网络之间建立保护屏障,以保护内部网络免受来自外部网络的攻击。
防火墙可以对网络流量进行监控和控制,从而确保网络数据的安全。
华为防火墙是一款高性能的网络安全设备,能够有效防止各种网络攻击,确保网络安全。
华为防火墙支持多种网络协议,适用于各种网络环境。
二、防火墙的安装与配置
1.安装华为防火墙
安装华为防火墙需要先准备好所需的硬件设备和软件资源。
然后按照安装指南进行操作,完成设备的安装和配置。
2.配置华为防火墙
配置华为防火墙需要对其进行基本的设置,包括设备的名称、IP 地址等。
此外,还需要配置防火墙的访问控制规则,以限制外部网络对内部网络的访
问。
三、防火墙的运行与维护
1.防火墙的运行
华为防火墙在运行过程中,会不断监控网络流量,并对异常流量进行处理。
同时,防火墙还会记录网络事件,以供管理员进行审计。
2.防火墙的维护
为了确保防火墙的正常运行,需要对其进行定期的维护。
主要包括设备巡检、软件升级、配置备份等。
四、防火墙的安全性能优化
为了提高华为防火墙的安全性能,需要对其进行优化。
主要包括访问控制策略的优化、安全特征库的更新、设备的性能优化等。
五、总结
华为防火墙是一款高性能的网络安全设备,能够有效保护网络安全。
安装和配置防火墙需要按照相应的指南进行操作。
eNSP_USG6000V_开局手册
1Web管理USG6000V一、网卡的配置如下二、eNSP里面,拖出一个云,配置如下:先增加一个端口,邦定信息为UDP,再加一个端口,邦定信息为刚刚配置好的环回网卡。
端口映射设置双向通道。
三、拖出一个USG6000V的防火墙,用防火墙的GigabitEthernet0/0/0 端口和云连接,启动防火墙,输入命令,启动WEB。
[USG6000V1]web-manager enable保证GigabitEthernet0/0/0的IP是192.168.0.1/24 ,且两个端口的状态都为up现在可以在浏览器的地址栏上输入https://192.168.0.1:8443/来访问了。
缺省用户名为admin,缺省密码为Admin@1232端口不UP的原因先修改在导入USG6000V文件在ENSP的安装目录下,有一个叫res的文件夹,进入之后,有一个叫items.xml的文件,用记事本打开它,里面有关于USG6000V的配置。
<heartBeat>0</heartBeat>严重注意这个,这个原来是0(禁用!!),问题就在这里呀!!!!改成1就好了!有2处都需要改,改成<heartBeat>1</heartBeat>,这个关键字给的太有水平了!!!心跳!!!原以为是双机热备的心跳功能,没有想到普通接口能否UP也与这个有关!!!!3删除先前导入过的USG6000V文件4Window7创建loopbake环回网卡用环回口来和Cloud云通信按下win + R键,在其中输入:hdwwiz,回车。
卸载loopback,请前往设备管理器相应位置中卸载。
5注意用火狐浏览器32位版,并下载根证书以上设置测试正确无误,eNSP版本为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
300G的硬盘,按照20M/s的读写速度来计算,构建过程所需的时间是4个多小时。
第13页
300G
单位转换
300,000M 20M/s
4.17 单位转换
15,000s
hrs
如何更换硬盘单元?
防火墙单硬盘和双硬盘环境下,更换硬盘单元的操作方法不同,请特别注意,否则硬盘信息可能显 示异常。
选择场景
简要操作指导
USG6507 USG6530 USG6550 USG6570
支持单硬盘
3U设备
防火墙插卡
USG6620 USG6630
USG6650 USG6660 USG6670 USG6680
ET1D2FW00S00 ET1D2FW00S01 ET1D2FW00S02
支持双硬盘
不支持硬盘
CE-FWA
第6页
1、3U设备的双硬盘必须组成RAID1磁盘阵列。RAID1通过硬盘数据镜像实现数据的冗余,提高读取 性能和数据安全性。 2、USG6000 V100R001C00版本默认以HDD0为主盘自动构建RAID1;后续版本需要手动设置主盘。
CONTENTS
目
录
基本概念 操作与维护 常用命令 注意事项
Part 1 Part 2 Part 3 Part 4
CONTENTS
目
录
为什么要引入硬盘?硬盘有什么作用?
在引入硬盘以前,防火墙的日志主要存储在设备内存中,设备重启后日志就丢失了。 另外,CF卡中保留了一些关键的日志(如接口Up/Down),可以通过查看诊断信息来查看。
第11页
这里介绍的是在防火墙上电前的 安装方法。如果防火墙已上电, 请参考如何扩容硬盘。
步骤2
如何在下电情况下安装硬盘?
硬盘单元SM-HDD-SAS300G-A,3U设备
1. 拆下硬盘插槽假面板。 2. 将硬盘托架的拉手置于拉出状态,接
着将硬盘托架沿硬盘插槽推入直至硬 盘托架面板与USG面板齐平。 3. 将硬盘托架的拉手向里按回原位。
两种硬盘有什么区别?
第8页
硬盘单元SM-HDD-SAS300G-A适用于3U设备,安装在设备主控板SPUA上的HDD0和HDD1槽 位上。硬盘组合SM-HDD-SAS300G-B适用于1U设备,安装在设备的HDD4槽位上。 完整的对比请看下表。
1U设备
USG6306 USG6308 USG6330 USG6350 USG6360 USG6370 USG6380 USG6390
支持热替换
双硬盘,RAID1 安装在主控板SPUA上HDD0和HDD1槽位
热替换,即在防 火墙设备不断电 的情况下更换故 障硬盘。
300G硬盘可以存储多长时间的日志?
硬盘的可用空间中,默认已经按照不同的日志类型划分了可用存储空间大小。当日志可用存储空间 满时,默认是用新日志覆盖旧日志(可修改策略为丢弃新日志)。
硬盘长什么样子?
硬盘单元 SM-HDD-SAS300G-A
硬盘组合 SM-HDD-SAS300G-B
第7页
硬盘组合SM-HDD-SAS300G-B由硬盘插卡和硬盘单元SM-HDDSAS300G-A组成。SAS表示硬盘单元的接口类型为SAS,300G表示存 储空间大小。请务必采购华为公司提供的硬盘,否则无法识别。
这么多硬盘挂载场景,记不住怎么办?
下 电 单硬盘 安 装 双硬盘
带 电 单硬盘 更 换 双硬盘
硬件操作
上电
查看状态
设置主盘
等待4~5小时
查看状态
保存配置
下线硬盘
等待30秒
上线硬盘
等待30秒
删除RAID
硬件操作
设置主盘
等待4~5小时
1U,无硬盘>单硬盘
带 电 3U,无硬盘>单硬盘 扩 容 3U,无硬盘>双硬盘
当系统处理策略是丢弃新日志时,对于旧日志而言,储存日志的时间是无限长。
当系统处理策略是新日志覆盖旧日志时,旧日志何时会被覆盖,由两个因素决定: 1、日志的数量。日志的数量主要由业务量决定。 2、日志的可用存储空间大小。每种类型日志的可用存储空间不同,有默认值,也可以手动修改 (V500R001开始支持)。
第16页
3U,单硬盘>双硬盘
保存配置
下电
等待10分钟
保存配置
等待10分钟
设置主盘
等待秒
等待1分钟 设置主盘
等待4~5小时
带电挂载硬盘是否会影响业务运行?
从前一页可以看到,除了新安装设备、1U设备新增硬盘这两个场景外,其他硬盘挂载场景都可以带 电操作。 在硬盘挂载操作过程中,业务转发不受影响。所以,放手干吧! 不过,挂载过程中硬盘不会为业务记录实时日志。尤其需要提醒的是,双硬盘挂载需要4~5小时, 耗时比较长。
挂载后为Mounted。此外,如果是双硬盘,RAID状态(DiskRaidMode)为ACTIVE。
硬盘挂载后新增硬盘使用率
第18页
硬盘挂载后状态为Normal
更换硬盘前如何备份数据?
如果硬盘已经不可读,数据无法备份。硬盘可读是基本要求。 如果设备是单硬盘环境,可以在更换之前把各种日志数据分别导出到CSV文件中。注意:每次最 多只能导出10,000条日志。通过不断调整查询时间,可以分批导出。 如果设备是双硬盘环境,只需要按照更换硬盘的操作步骤,设置有数据的硬盘为主盘,数据会自 动同步到新硬盘上。
USG6507 USG6530 USG6550 USG6570
硬盘组合SM-HDD-SAS300G-B
硬盘组合、硬盘插卡不支持热插拔 硬盘单元支持热替换
单硬盘
安装在HDD4槽位
3U设备
USG6620 USG6630
USG6650 USG6660 USG6670 USG6680
硬盘单元 SM-HDD-SAS300G-A
随着网络的发展,企业对可视化管理的要求越来越高。提供多维度排行和趋势、形象直观的报表是 最基本的需求,而海量日志数据的存储是提供丰富报表的基础。
简单点说,硬盘主要就是用来存储日志和报表的。
第4页
除了防火墙本地存储日志,您也可以选择把日志输出到第三方的日
志服务器上去,华为也提供了eSight/LogCenter产品。当然,这需 要更多的资金来购买服务器和日志管理软件。
哪些设备支持硬盘?
1U和3U设备都支持硬盘;桌面型设备和防火墙插卡没有扩展槽位,不支持硬盘。 1U设备仅支持单硬盘;3U设备支持双硬盘,两块硬盘组成RAID1磁盘阵列。 所有1U和3U设备都不标配硬盘,需要自行选购。
桌面型
USG6310 USG6510USG6320 SJJ
不支持硬盘
1U设备
USG6306 USG6308 USG6330 USG6350 USG6360 USG6370 USG6380 USG6390
如果是单硬盘,设备上电后,执行命令display disk information,检查Filesystem Status 应为Mounted。 如果是双硬盘,设备上电后,在系统视图下执 行命令reset raid primary-disk disk-id,以 disk-id为主盘构建RAID1。 等待约4~5个小时,执行命令display disk information,检查Filesystem Status应为 Mounted,DiskRaidMode应为ACTIVE。
第14页
双硬盘场景下,更换1块硬盘或者同时更换2块硬盘的操作方法完全相同。
如何扩容硬盘?
第15页
不同场景下,硬盘扩容的操作方法不同,请特别注意,否则硬盘可能无法正常挂载。
选择场景
简要操作指导
1U,无硬盘→单硬盘 3U,无硬盘→单硬盘 3U,无硬盘→双硬盘 3U,单硬盘→双硬盘
1. 保存配置 2. 下电——因为1U设备的硬盘插卡不支持热插拔,所以必须下电安装 3. 安装硬盘插卡 4. 上电 5. 检查硬盘状态(display disk information)
第12页
步骤1
步骤3
为什么双硬盘挂载这么慢?
如前所述,3U设备的双硬盘必须组成RAID1磁盘阵列,以提高数据安全性和读取性能。组成 RAID1的两块硬盘完全镜像,所以又称为Mirror或Mirroring(镜像)。RAID1的构建过程通常约 需要4~5个小时,有时甚至更久。
RAID1的构建过程主要是硬盘的读写过程。硬盘的读写速度与硬盘自身的速度、控制器的速度、 CPU的速度等多种因素有关。防火墙选用的是速度较快的SAS盘、LSI控制器(可检查display disk information输出信息的DiskIOC_Vendor字段)。
因此,每种日志可保存的时间必然不同。您可以在运行一段时间之后,在面板上观察每类日志的存 储空间利用率,据此调整日志的存储空间大小,以尽可能地延长日志的保存时间。详见第20页。
第9页
基本概念 操作与维护 常用命令 注意事项
Part 1 Part 2 Part 3 Part 4
CONTENTS
目
录
如何在下电情况下安装硬盘?
硬盘组合SM-HDD-SAS300G-B,1U设备
1. 拧松HDD4插槽上假面板的螺钉,并 取下假面板。
2. 手持硬盘插卡的两侧,沿插槽的导轨 水平推入硬盘组合,直至硬盘组合完 全进入插槽,拧紧硬盘插卡两侧的螺 钉。
3. 设备上电后,在任意视图下执行命令 display disk information,检查 Filesystem Status应为Mounted。
单硬盘 双硬盘
1. 保存配置 2. 下线硬盘(disk offline) 3. 等待30秒,更换硬盘单元 4. 上线硬盘(disk online) 5. 检查硬盘状态(display disk information)
1. 保存配置 2. 下线硬盘(disk offline) 3. 等待30秒,删除RAID(reset raid) 4. 更换硬盘单元 5. 等待1分钟,指定主盘并开始构建RAID1(reset raid primary-disk disk-id) 6. 等待4~5小时,检查硬盘状态(display disk information)